概要:クラウドインフラ悪用によるフィッシング
高度なフィッシングキャンペーンが、Google Cloudのインフラを悪用してメールセキュリティフィルターを迂回し、Microsoft 365の認証情報を窃取していることが明らかになりました。これは、攻撃者が信頼されたクラウドプラットフォームを悪用し、悪意のある活動に正当性を与える手口が増加していることを示しています。Check Pointのサイバーセキュリティ研究者によると、この大規模なオペレーションは、わずか14日間で約3,200の組織を標的とし、9,300通以上のフィッシングメールを送信していました。
キャンペーンの詳細:多段階リダイレクトと正規ドメインの悪用
攻撃者は、Google Cloud Application Integrationの「Send Email」機能を悪用し、正規のGoogleアドレスからメッセージを配信していました。これにより、メールは本物に見え、従来のスパムフィルターを回避していました。このキャンペーンは、ユーザーの信頼を悪用しつつ自動セキュリティツールを回避するように設計された多段階のリダイレクト技術を採用しています。
受信者は、Googleの正規のフォーマットと文言を忠実に再現した、プロフェッショナルに作成されたメール(ボイスメール通知、ドキュメント共有リクエスト、アクセス許可通知など)を受け取ります。埋め込まれたリンクをクリックすると、まず正規のstorage.cloud.google.com URLに誘導され、最初の信頼を確立します。その後、攻撃はgoogleusercontent.comを経由してリダイレクトされ、ユーザーは自動セキュリティスキャナーを排除しつつ実際のユーザーを通過させるための偽のCAPTCHA認証に遭遇します。この認証層を通過すると、被害者は非Microsoftドメインでホストされている説得力のあるMicrosoft 365ログインページに誘導され、そこで入力された認証情報は攻撃者によって窃取されます。
なぜこのキャンペーンが機能したのか
このキャンペーンが成功した理由として、Google Cloud Application Integrationが、アプリケーション間の連携とビジネスプロセスの自動化を可能にする正規のワークフロー自動化ツールであることが挙げられます。新規顧客には300ドルの無料クレジットが提供されるため、サイバー犯罪者にとっても参入障壁が大幅に低くなります。このプラットフォームの「Send Email」タスクは、正規のシステム通知を目的としていますが、任意の受信者にメールを送信するように設定できるため、攻撃者はGoogleのインフラ自体を侵害することなくこの機能を悪用しました。
攻撃の複数の段階で正規のGoogleドメインが使用されたことが、技術的なセキュリティ制御と人間の監視の両方を迂回する本質的な信頼性を提供しました。これは、ユーザーが見慣れたプラットフォームからの通信を信頼するように訓練されているためです。
標的となった業界と地域
分析によると、このキャンペーンは主に以下の業界を標的としていました。
- 製造業および工業組織 (19.6%)
- テクノロジーおよびSaaS企業 (18.9%)
- 金融サービス企業 (14.8%)
これらの業界では、自動通知やドキュメント共有のワークフローが頻繁に使用されるため、Googleブランドの通知は特に説得力があります。地理的には、被害組織のほぼ半数が米国(48.6%)に集中しており、次いでアジア太平洋地域(20.7%)、ヨーロッパ(19.8%)となっています。
Googleの対応
Googleは、メール通知機能の悪用に関連する複数のフィッシングキャンペーンをブロックし、この特定の攻撃ベクトルに対する保護措置を講じたことを確認しました。同社は、この活動はGoogleのインフラの侵害ではなく、ワークフロー自動化ツールの悪用に起因するものであり、さらなる悪用を防ぐための追加措置を講じていると強調しました。
組織および個人への推奨事項
組織および個人は、認証情報を入力する前に、ログインページの実際のドメインを確認する必要があります。パスワードマネージャーは、偽装されたサイトでの認証情報の自動入力を拒否することで役立ちます。多要素認証(MFA)を導入することで、盗まれたパスワードだけではアカウントが侵害されないようにし、認識されていないアプリの権限を定期的に確認および削除することも追加のセキュリティ層となります。
ユーザーは、信頼できるブランドから発信されているように見える場合でも、ボイスメールやドキュメント共有に関する緊急のメールには懐疑的な姿勢で臨むべきです。メール内のリンクをクリックするのではなく、ブックマークやアプリケーションを介してサービスに直接アクセスすることが、より安全な認証手段となります。このキャンペーンは、フィッシング攻撃の高度化と、信頼できるインフラが関与している場合であっても、正規の自動通信と悪意のあるなりすましを区別することの継続的な課題を浮き彫りにしています。